赛门铁克对 Regin 木马程序的持续研究进一步加深了对网络间谍工具的了解,揭示出了更为广泛的功能以及为该威胁提供支持的复杂基础架构。
赛门铁克在去年发现了 Regin,迄今为止这仍是最高级的间谍工具之一。该恶意软件于 2008 年开始传播,已经针对一系列目标进行过攻击,包括政府部门、基础架构运营商、企业、研究机构和个人。
新模块
Regin 的威胁分为五个阶段,每个阶段都会加载和解密下一个阶段。该恶意软件具有模块化结构,使得其控制者可以根据目标添加和删除特定功能。一些 Regin 模块控制恶意软件的基本功能,例如网络或处理 Regin 的加密虚拟文件系统 (EVFS)。其他模块作为攻击负载,指示各个 Regin 感染设备执行的功能。
正如在更新后的技术白皮书中所述,赛门铁克发现了 49 个新模块,使得所发现的 Regin 模块总数达到了 75 个,而这一名单还不完整。已知还存在多个其他 Regin 攻击负载,因为分析的一些模块中包含对其引用。
命令和控制
赛门铁克发现了大量命令和控制 (C&C) 基础设施为 Regin 感染提供支持。攻击者设计了复杂的系统用来与 C&C 服务器通信,其流量通过感染了 Regin 的计算机组成的网络来中继。受侵害的计算机可以用作其他受感染计算机的代理,使用点对点 (P2P) 通信。恶意软件使用了大量的网络协议,可以在每对受 Regin 感染的计算机之间配置,使得控制者能够更精细地控制 C&C 通信。
所有 C&C 通信使用强加密,遵循两阶段协议,攻击者在一个通道上联系受感染计算机,指示该通道在另一个通道上开放通信。单个 Regin 模块 (0009h) 负责通信协议的核心处理,而各个协议具有自己的单独模块。已经识别的传输协议共有六种:ICMP、UDP、TCP、HTTP Cookie、SSL 和 SMB。
Regin 的 P2P 通信功能会向每个 Regin 感染设备分配一个虚拟 IP 地址,在受感染计算机的物理网络之上构成虚拟专用网络 (VPN)。此 P2P 功能使得攻击者可以保持对受感染组织中关键资产的深层次访问,并且掩蔽属于该团体的核心基础架构。节点之间的流量可以进行配置,从而根据节点在网络中的位置来匹配预期的协议,这为通信带来了更好的隐蔽性。
远程过程调用 (RPC) 机制
Regin 的作者通过轻型远程过程调用 (RPC) 机制来协调模块之间的通信。此 RPC 机制似乎是专门定制的。
RPC 机制使得过程调用可以本地进行,也可以跨在感染了 Regin 的计算机网络中进行。操作者可以直接调用 Regin 网络上的任意过程来远程控制、安装或更新模块,或者通过替换 EVFS 文件来更改模块配置。
Regin 的价值
尽管去年就发现了该威胁,此恶意软件背后的团体似乎并未收手。其跟踪记录和可用资源表明,这一团体可能会通过新威胁手段来重新改装,或者升级 Regin 以规避检测。考虑到开发具备相同功能的恶意软件框架所需的时间,后一种是最可能的做法。
在技术功能方面,Regin 领先绝大多数威胁数年。其影响力可能会持续发酵,因为其他功能稍逊于它的威胁可能会从中汲取灵感,复制其功能来改进自己的工具。
延伸阅读
在我们的最新技术白皮书中可以找到面向安全管理员提供的入侵指示和更详细的技术信息 − Regin: Top-tier espionage tool enables stealthy surveillance
防护
赛门铁克和诺顿产品将此威胁识别为 Backdoor.Regin。